Wslinkマルウェアは影の中で機能して他のペイロードを配信します
十分に開発されたマルウェアは通常、マルウェア研究者によって活動が綿密に追跡されている既知の脅威アクターの製品です。ただし、コード、動作、およびインフラストラクチャを既存のサイバー犯罪グループにリンクできないプロジェクトがいくつかあります。これらのインプラントの1つは、2021年10月に発見されたWslinkマルウェアです。この脅威はWindowsシステムでのみ実行され、セカンダリペイロードのローダーとして機能しているようです。 Wslinkマルウェア攻撃の大部分は、中央ヨーロッパ、中東、および北アメリカに集中していました。犯罪者はさまざまな業界で活動しているエンティティを追跡しているようであり、Wslinkマルウェアの展開に使用する感染ベクトルに関する正確なデータはありません。
Wslinkマルウェアはどのように動作しますか?
Wslinkマルウェアのアクティブなサンプルは、通常、特別に細工されたWindowsサービスを使用して永続性を実現しました。これらはすべて、Windowsの起動時に自動的に起動するように構成されています。インプラントの動作と接続は、研究アナリストやウイルス対策ツールから隠そうとして、高度に暗号化されていました。
Wslink Malwareペイロードが復号化されると、コンピューターのメモリに読み込まれ、ハードドライブに残るデジタルフットプリントが最小限に抑えられます。これにより、インプラントの動作を分析するのがより困難になり、スキャンがあまり徹底されていないマルウェア対策アプリケーションを回避できるという追加の利点があります。
これまでのところ、Wslinkマルウェアが受信して実行するセカンダリモジュールに関する情報はありません。ただし、それらをシステムのメモリに直接ロードする能力から判断すると、そのオペレーターは他の注目度の高いインプラントと組み合わせて使用することを計画している可能性があります。幸いなことに、Wslink Malwareの高度な暗号化とAV回避技術にもかかわらず、最新のウイルス対策ソフトウェアを使用することで、それから身を守るのは簡単です。